北朝鮮の脅威アクターであるKimsukyは、韓国の暗号通貨企業を標的としたサイバー攻撃の一環として、これまで文書化されていなかったGolangベースのマルウェア「Durian」を展開していることが観察された。この攻撃は2023年8月と11月に発生し、韓国独自の正規ソフトウェアを感染経路として利用していた。このソフトウェアは攻撃者のサーバーに接続し、感染シーケンスを開始する悪意のあるペイロードの取得につながる。Durianは、さらなるマルウェアの導入に使用され、Kimsukyの主要なバックドアであるAppleSeed、カスタムプロキシツールのLazyLoad、ngrokやChrome Remote Desktopなどの正規ツールを導入する。攻撃の目的は、ブラウザに保存されたデータ、クッキー、ログイン資格情報の窃取である。LazyLoadの使用は、Lazarus Group内のサブクラスタであるAndarielによって以前に使用されており、2つの脅威アクター間の潜在的な協力または戦術的な重複の可能性を示唆している。Kimsukyグループは、少なくとも2012年から活動しており、北朝鮮の主要な軍事情報機関である偵察総局(RGB)内の63研究センターの下位要素であると評価されている。また、この国家支援の敵対者は、Dropboxを「攻撃の基盤」として利用するC#ベースのリモートアクセストロイの木馬および情報窃取ツールであるTutorialRATを配信するキャンペーンにも関連している。さらに、別の北朝鮮の国家支援ハッキンググループであるScarCruftが、RokRATの展開に終わるWindowsショートカット(LNK)ファイルを使用して韓国のユーザーを標的とするキャンペーンを実施していることがAhnLab Security Intelligence Center(ASEC)によって詳述された。
【ニュース解説】
北朝鮮のハッカーグループであるKimsukyが、新たなGolangベースのマルウェア「Durian」を使用して、韓国の暗号通貨企業を標的にしたサイバー攻撃を行っていることが明らかになりました。この攻撃は2023年の8月と11月に発生し、韓国独自の正規ソフトウェアを感染経路として利用しています。このソフトウェアは攻撃者のサーバーに接続し、悪意のあるペイロードを取得して感染シーケンスを開始します。Durianマルウェアは、さらなるマルウェアの導入に使用され、ブラウザに保存されたデータ、クッキー、ログイン資格情報の窃取を目的としています。
この攻撃には、Kimsukyが以前に使用していたAppleSeedというバックドア、カスタムプロキシツールのLazyLoad、ngrokやChrome Remote Desktopなどの正規ツールが含まれています。特にLazyLoadの使用は、Lazarus Group内の別のサブクラスタであるAndarielによって以前に使用されていたことから、両グループ間の潜在的な協力や戦術的な重複の可能性を示唆しています。
Kimsukyグループは、2012年から活動しており、北朝鮮の軍事情報機関である偵察総局(RGB)の下位要素であるとされています。このグループの主な目的は、政策分析家や専門家を侵害することにより、北朝鮮政権に盗まれたデータや貴重な地政学的洞察を提供することです。成功した侵害は、より信頼性が高く効果的なスピアフィッシングメールを作成するために利用され、それらはさらに敏感で価値の高いターゲットに対して利用される可能性があります。
このような攻撃は、暗号通貨企業だけでなく、広範なセキュリティコミュニティにとっても重要な警告です。攻撃者が正規のソフトウェアを利用して感染を広げる手法は、従来のセキュリティ対策を迂回することが可能であり、企業や組織はこのような脅威に対してより高度な防御策を講じる必要があります。また、北朝鮮のような国家支援のハッカーグループによるサイバー攻撃は、国際的な政治や経済に対する影響も考慮する必要があり、サイバーセキュリティは単なる技術的な問題ではなく、より広い地政学的な文脈で理解されるべきです。
この攻撃の発覚は、サイバーセキュリティの専門家や企業にとって、攻撃手法の進化に対応するための継続的な学習とシステムの更新の重要性を再認識させるものです。また、国家支援のハッカーグループによる攻撃は、国際的な協力と情報共有の強化を促すことで、より効果的な対策が可能になることを示しています。
from North Korean Hackers Deploy New Golang Malware 'Durian' Against Crypto Firms.
